ГОСТ Р ИСО/МЭК 27034-1—2014
ASC может быть связана с несколькими уровнями доверия.
Пример — На рисунке 5 ASC определена на уровне доеерия 1 для любых приложений, включающих
онлайновые платежи. Эта ASC обязательна для любых проектов разработки приложений, включаю
щих онлайновые платежи, где владельцем приложения присвоен целевой уровень доверия от 1 до 2.
Если владелец приложения хочет присвоить третий целевой уровень доверия, то нужна ASC с более
строгим мероприятием по обеспечению безопасности и/или измерением.
8.1.2.6.5.4 Мероприятие по обеспечению безопасностиASС
Этот элемент описывает шаги или процедуры, необходимые для реализации мероприятия. Он по
меньшей мере должен определять:
a) что:
1) полное описание мероприятия по обеспечению безопасности:
2) сложность мероприятия:
3) артефакты, создаваемые в результате мероприятия. Эти артефакты предоставляют сви
детельства. подтверждающие наличие процессов или процедур введенной меры и сред
ства контроля и управления безопасностью приложений (т. е. мероприятия по обеспечению
безопасности ASC);
4) ожидаемые результаты мероприятий по обеспечению доверия ASC (а именно описание
ожидаемой ситуации, состояния или точного значения артефакта, создаваемого в результа те
мероприятия);
b
) как: метод выполнения данного мероприятия и получения артефакта, такого как идентифика
ция исходного кода, использованногодля реализации безопасных соединений с сервисом упрощенного
протокола доступа к сетевым каталогам (LDAP), идентификация библиотеки, использованной для шиф
рования. или документ, предоставляющий руководство по выполнению мероприятия.
c) где: цель мероприятия по обеспечению безопасности, такая как исходный код. параметры при
ложения. компонент инфраструктуры, процесс;
d) кто. необходимая квалификация действующих субъектов, которые должны осуществлять дан
ное мероприятие. Действующие субъекты зависимы от ASC (возможно, в форме официального пред
писания). потому что организация должна обеспечивать уверенность в достижении необходимой про
фессиональной квалификации для каждой роли и соблюдении принципа разделения обязанностей.
ASC должны быть записаны с точно выраженным назначением проверки профессиональной
квалифи кации;
e) когда: указание на определенную деятельность на этапе эталонной модели жизненного цикла
безопасности приложений (см. 8.1.2.7), когда должно осуществляться данное мероприятие;
f) сколько: расчетная стоимость реализации ASC.
8.1.2.6.5.5 Верификационное измерениеASC
Здесь представлено верификационное измерение, проводимое для проверки реализации соот
ветствующей ASC. Верификационное измерение по меньшей мере должно определять:
a) что:
1) полное описание измерения безопасности. Это описание определяет, как верифицирует
ся существование и правильность артефакта, создаваемого в результате реализацииASC;
2) сложность измерения:
3) артефакт, создаваемый при измерении. Этот артефакт предоставляет свидетельства,
необходимые для демонстрации верификации ASC:
4) ожидаемые результаты (описание ситуации, состояния или точного значения артефакта):
b
) как; метод выполнения данного измерения и получения артефакта, такой как инструменталь
ные средства и установки проверки кода или документ, предоставляющий руководство по выполнению
измерения;
c) где: цель верификации, а именно точные характеристики артефакта, создаваемого соответ
ствующей верифицируемой ASC.
d) кто: необходимая профессиональная квалификация действующих субъектов, участвующих в
верификации. Действующие субъекты зависимы от ASC (возможно, в форме официального предпи
сания), потому что организация должна обеспечивать уверенность в достижении необходимой про
фессиональной квалификации для каждой роли и в соблюдении принципа разделения обязанностей.
ASC должны быть записаны с точно выраженным назначением проверки профессиональной квалифи
кации;
20